记一次实战中信息收集溯源案例分享

在某次值守中,发现了一个攻击IP ,通过社工信息收集等思路与技巧,结合地图定位与各个渠道信息检索,逐步深入,直到溯源到攻击IP所属人的完整信息,内容详细完整值得一读。
  • 发表于 2024-08-15 10:10:48
  • 阅读 ( 2336 )
  • 分类:应急响应

8 条评论

11111wqe
第一步就很有可能出问题了。从你的截图可以看到末次域名解析在一年前,之后域名和ip之间很可能没有关系了。而阿里云的ip非常容易易手,在没有连续性的证据下,一年前的域名解析完全无法作为证据。很有可能是攻击队近期买的阿里云ip,而这与你后面溯源到的是个前端完全对应上了,这个人完全不是个安全行业的人员,你很可能开盒了一个无辜的人。
这是23年的案例,不是最近的
请先 登录 后评论
用户871317348
谢谢博主的分享
请先 登录 后评论
online
怎么看都不像搞安全的,像是搞前端的。IP域名反查时间能对应上吗?万一是过期的域名解析的记录。还有就是溯源的方向应该往攻击者的职业、公司吧....作者感觉方向有点偏
chenwuwu 回复 online
攻击者不一定只是攻击队,也有可能是个人攻击者和黑灰产,这是23年的案例,这个域名解析当时是生效的
请先 登录 后评论
asdfs
没证明是搞安全的,无效
请先 登录 后评论
asdfs
g
请先 登录 后评论
M0urn
前面的思路好像出问题了,就算域名和IP解析对的上,你拿名字直接搜其他备案不会有重名问题么,他这个名字看起来相当大众,而且备案号地域很多,大概率是好多个人的备案信息,有可能溯歪了。能做域名备案的大概率也是互联网行业的人,所以才会出现这个做前端的备案。个人觉得后面的信息都是以名字为基础查出来的,而你后面查的这个名字和攻击者的绑定性存疑,所以有溯歪的可能,之前我就这么溯歪过一次,差点报警给人学生逮进去了。
请先 登录 后评论
请先 登录 后评论
chenwuwu
chenwuwu

1 篇文章